Cuando parecía que los esfuerzos de las autoridades habían puesto fin a una de las amenazas más persistentes en ciberseguridad, Volt Typhoon, un grupo de hackers respaldado por el estado chino, logró sorprender al mundo una vez más. Este grupo de hackers, ya está en proceso de reconstruir su botnet de malware conocida como "KV-Botnet", tras haber sido desmantelada por las fuerzas del orden en enero, según investigadores de SecurityScorecard.
Volt Typhoon no es nuevo en el juego. Durante al menos cinco años, este grupo se ha infiltrado en infraestructuras críticas de Estados Unidos y redes clave en todo el mundo, llevando a cabo operaciones de ciberespionaje altamente sigilosas.
Su táctica favorita es atacar dispositivos de red como enrutadores SOHO, firewalls Netgear ProSAFE, Cisco RV320, enrutadores DrayTek Vigor y cámaras IP Axis. Una vez que logran acceso, instalan malware hecho a medida para establecer canales de comunicación encubiertos, crear proxies y mantener acceso persistente a las redes que comprometen. Sí, estos hackers juegan a largo plazo, y lo hacen con una precisión alarmante.
En enero de 2024, las autoridades de Estados Unidos lograron desmantelar la botnet de Volt Typhoon, eliminando el malware de los enrutadores infectados. Todo apuntaba a que el grupo había quedado fuera de juego… pero no por mucho tiempo.
En febrero, intentaron volver a la acción, aunque ese intento falló. Sin embargo, en agosto, comenzaron a surgir reportes de que un grupo de amenazas estaba explotando una vulnerabilidad de día cero, y sí, Volt Typhoon seguía más activo que nunca.
Según un informe de SecurityScorecard, el grupo ya está reconstruyendo su botnet, esta vez atacando enrutadores Cisco y Netgear desactualizados. En apenas un mes, han comprometido una cantidad significativa de dispositivos.
Lo hacen usando malware diseñado para arquitectura MIPS y webshells que comunican datos a través de puertos poco comunes, lo que complica mucho su detección. En resumen, están afinando sus estrategias y dejando claro que no piensan desaparecer.
Infecciones por Volt Typhoon
Volt Typhoon vuelve al ataque: reconstruye su botnet desde Asia
Parece que Volt Typhoon no piensa quedarse atrás. Según un informe de SecurityScorecard, el grupo ha regresado a lo grande desde septiembre, con una nueva red de dispositivos comprometidos, esta vez ubicada principalmente en Asia.
Su botnet renovada, conocida como "KV-Botnet" o también como "JDYFJ Botnet" (un nombre basado en el certificado SSL autofirmado que encontraron en dispositivos comprometidos), está enfocada en atacar dispositivos desactualizados, especialmente los enrutadores Cisco RV320/325 y Netgear ProSafe.
Certificado autofirmado "jdyfj" utilizado por Volt Typhoon
El equipo STRIKE de SecurityScorecard señala que en solo 37 días, Volt Typhoon logró comprometer aproximadamente el 30 % de los enrutadores Cisco RV320/325 expuestos en Internet. Lo inquietante es que, hasta ahora, no está claro qué vulnerabilidad específica están explotando para lograrlo.
“Desconocemos qué falla están aprovechando”, comentaron los investigadores. “Sin embargo, como estos dispositivos ya han llegado al final de su vida útil, no reciben actualizaciones ni parches de seguridad, lo que los hace un blanco fácil”.
¿Qué malware están usando? Aún es un misterio
Otro detalle interesante es que algunos de los dispositivos comprometidos antes de la operación del FBI, que supuestamente habían sido limpiados, han vuelto a unirse a esta nueva botnet. Sin embargo, los investigadores admiten que aún no saben qué malware están utilizando para reactivar su red.
Lo que sí está claro es el propósito principal de KV-Botnet: enmascarar actividades maliciosas dirigiendo el tráfico a través de dispositivos legítimos que han sido comprometidos. Es una táctica inteligente (y peligrosa) que les permite operar bajo el radar, dificultando su detección y rastreo.
Volt Typhoon no está dejando cabos sueltos. Los servidores de comando y control de la botnet están distribuidos en servicios populares como Digital Ocean, Quadranet y Vultr, lo que crea una red más diversa y robusta, capaz de resistir intentos de derribo.
Además, en un movimiento especialmente estratégico, están utilizando un dispositivo VPN comprometido en Nueva Caledonia, una isla en el Pacífico, como puente para redirigir el tráfico entre Asia-Pacífico y América. Esto convierte a la isla en un punto oculto clave para mantener sus operaciones bajo control.
Podría interesarte leer: México Bajo Ataque: Botnet Tipo Mirai Apunta a Infraestructuras Clave
Volt Typhoon está de vuelta en acción. Aunque su nueva botnet todavía no alcanza el tamaño de sus versiones anteriores, está claro que este grupo de hackers chinos no tiene intención de detenerse y seguirá operando con la misma persistencia que los caracteriza.
¿Qué podemos hacer para protegernos de esta amenaza? Si tienes enrutadores antiguos o que ya no reciben soporte, es hora de considerar reemplazarlos por modelos más recientes. Además, asegúrate de colocarlos detrás de un firewall, evita exponer los paneles de administración a Internet y cambia las credenciales predeterminadas de administrador por contraseñas únicas y seguras.
Si estás usando un enrutador más nuevo, no te confíes. Es fundamental mantenerlo actualizado con el firmware más reciente que ofrezca el fabricante, ya que estas actualizaciones corrigen vulnerabilidades que los atacantes suelen aprovechar. Unos simples ajustes pueden marcar la diferencia entre estar protegido o ser el próximo objetivo de una botnet.